《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 《數(shù)據(jù)安全法》加碼數(shù)據(jù)出境安全,跨國(guó)公司該如何應(yīng)對(duì)?

《數(shù)據(jù)安全法》加碼數(shù)據(jù)出境安全,跨國(guó)公司該如何應(yīng)對(duì)?

2021-08-05
來(lái)源:工控安全漫談
關(guān)鍵詞: 出境安全 跨國(guó)公司

  前言

  1980年,經(jīng)合組織(OECD)提出了“數(shù)據(jù)跨境流動(dòng)”(Trans-border Data Flow)的概念,其被界定為個(gè)人信息的跨越國(guó)界流動(dòng)。但隨著技術(shù)的發(fā)展,國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的理解已經(jīng)完全超越了個(gè)人信息的范疇。巨量的數(shù)據(jù)資源不僅只涉及個(gè)人信息了,尤其是跨國(guó)企業(yè)經(jīng)營(yíng)中涉及的數(shù)據(jù)跨境,既存在個(gè)人信息,也包括商品數(shù)據(jù)、支付數(shù)據(jù)、物流數(shù)據(jù)、地理位置等非個(gè)人信息,且其中相當(dāng)一部分?jǐn)?shù)據(jù)涉及國(guó)家安全、公共安全。我國(guó)此前監(jiān)管重心多側(cè)重于“個(gè)人信息”的出境規(guī)制(《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》),實(shí)務(wù)中對(duì)于“個(gè)人信息”出境合規(guī)應(yīng)對(duì)也較為成熟,而對(duì)于“重要數(shù)據(jù)”的出境規(guī)制則存在立法空白。

  2021年6月10日,我國(guó)《數(shù)據(jù)安全法》正式出臺(tái),在《網(wǎng)絡(luò)安全法》第37條的基礎(chǔ)上,進(jìn)一步建構(gòu)數(shù)據(jù)出境安全管理框架?!稊?shù)據(jù)安全法》在鼓勵(lì)跨境數(shù)據(jù)流動(dòng)(第10條)的基礎(chǔ)上,對(duì)數(shù)據(jù)出境安全管理(第31條)、主管機(jī)關(guān)批準(zhǔn)(第36條)以及法律責(zé)任承擔(dān)(第46條)等方面進(jìn)行規(guī)定,為跨國(guó)企業(yè)盡快開展數(shù)據(jù)出境合規(guī)工作提供了方向參考。

  本文將以《數(shù)據(jù)安全法》為基礎(chǔ),結(jié)合《網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》(下文簡(jiǎn)稱《評(píng)估指南》)等規(guī)定,對(duì)于跨國(guó)企業(yè)數(shù)據(jù)傳輸存在的常見(jiàn)問(wèn)題進(jìn)行回答,以期為跨國(guó)企業(yè)的數(shù)據(jù)出境合規(guī)提供法律幫助。

  一、《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)出境的監(jiān)管要求

  《數(shù)據(jù)安全法》第三十一條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。

  ( 一 ) 數(shù)據(jù)出境的主體:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者 & 其他數(shù)據(jù)處理者

  1.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者

  關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者并非《數(shù)據(jù)安全法》創(chuàng)設(shè)的新主體,早在《網(wǎng)絡(luò)安全法》與《網(wǎng)絡(luò)安全審查辦法》便已對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了定義。

  《網(wǎng)絡(luò)安全法》第三十一條規(guī)定,國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

  根據(jù)該條,國(guó)家互聯(lián)網(wǎng)信息辦公室(下文簡(jiǎn)稱“網(wǎng)信辦”)制定了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》,其中第十八條規(guī)定了應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍,包括:

  1、政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位;

  2、電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位;

  3、國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位;

  4、廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位;

  5、其他重點(diǎn)單位。

  而根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》第二條,在中華人民共和國(guó)境內(nèi)規(guī)劃、建設(shè)、運(yùn)營(yíng)、維護(hù)、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施,以及開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù),適用本條例。

  2.其他數(shù)據(jù)處理者

  我國(guó)此前針對(duì)個(gè)人信息與數(shù)據(jù)的收集、處理活動(dòng)的主體,多采用“網(wǎng)絡(luò)運(yùn)營(yíng)者/網(wǎng)絡(luò)運(yùn)營(yíng)商”的概念。

  《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》第二條將“個(gè)人信息出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息的行為;《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》將“數(shù)據(jù)出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)網(wǎng)絡(luò)等方式,將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),通過(guò)直接提供或開展業(yè)務(wù)以及提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)活動(dòng)。

  而最新的《數(shù)據(jù)安全法》將數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)明確界定為“數(shù)據(jù)處理”,而實(shí)施上述活動(dòng)的主體則為“數(shù)據(jù)處理者”。但此“數(shù)據(jù)處理者”從其內(nèi)涵和法律意義來(lái)看不同于GDPR項(xiàng)下的“數(shù)據(jù)處理者”。

  綜上,實(shí)施收集、存儲(chǔ)、使用、加工、傳輸、提供、公開數(shù)據(jù)等行為的跨國(guó)公司,無(wú)論其是否建設(shè)、運(yùn)營(yíng)、維護(hù)、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施,均因其實(shí)施數(shù)據(jù)處理行為而落入《數(shù)據(jù)安全法》第三十一條的規(guī)制主體范疇。

 ?。?二 ) 數(shù)據(jù)出境的對(duì)象:重要數(shù)據(jù)

  《數(shù)據(jù)安全法》并非要求所有數(shù)據(jù)出境均應(yīng)進(jìn)行審查,而是針對(duì)企業(yè)在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)出境安全管理。對(duì)于“重要數(shù)據(jù)”的范疇,《數(shù)據(jù)安全法》第二十一條在概念界定的基礎(chǔ)之上提出了“重要數(shù)據(jù)目錄”,該目錄則是由國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定。

  《數(shù)據(jù)安全法》第二十一條規(guī)定,國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。

  關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù),實(shí)行更加嚴(yán)格的管理制度。

  各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

  目前《數(shù)據(jù)安全法》的相關(guān)配套法律法規(guī)還未出臺(tái),尤其是最核心的“重要數(shù)據(jù)目錄”,但跨國(guó)公司數(shù)據(jù)出境需求并不會(huì)因?yàn)檎呱形绰涠ǘV埂T诖似陂g,我們建議跨國(guó)公司可以參照現(xiàn)有分類分級(jí)規(guī)范對(duì)“重要數(shù)據(jù)”界定開展工作,部分規(guī)范和行業(yè)標(biāo)準(zhǔn)仍處于征求意見(jiàn)階段,但并不意味其內(nèi)容毫無(wú)參考價(jià)值。

  《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的重要數(shù)據(jù)做了概括性的描述,如石油、電力、金融等。

  《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見(jiàn)稿)》首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍,具體包括:

  1、軍事管理區(qū)、國(guó)防科工等涉及國(guó)家秘密的單位、縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù);

  2、高于國(guó)家公開發(fā)布地圖精度的測(cè)繪數(shù)據(jù);

  3、汽車充電網(wǎng)的運(yùn)行數(shù)據(jù);

  4、道路上車輛類型、車輛流量等數(shù)據(jù);

  5、包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù);

  6、國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門明確的其他可能影響國(guó)家安全、公共利益的數(shù)據(jù)。

 ?。?三 ) 數(shù)據(jù)出境的內(nèi)容:“出境”

  《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》將“數(shù)據(jù)出境”(data cross-boder transfer)界定為網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的電子形式的個(gè)人信息和重要數(shù)據(jù),提供給境外機(jī)構(gòu)、組織、個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。并且注明,未經(jīng)任何變動(dòng)或加工處理的數(shù)據(jù)中轉(zhuǎn)情形不屬于數(shù)據(jù)出境。

  并將“提供”(provide)界定為網(wǎng)絡(luò)運(yùn)營(yíng)者主動(dòng)向境外機(jī)構(gòu)、組織或個(gè)人提供數(shù)據(jù),或通過(guò)其他途徑發(fā)布數(shù)據(jù)的行為,包括其用戶使用網(wǎng)絡(luò)運(yùn)營(yíng)者提供的產(chǎn)品或服務(wù)的功能,向境外機(jī)構(gòu)、組織或個(gè)人提供數(shù)據(jù)的行為。但排除了網(wǎng)絡(luò)運(yùn)營(yíng)者提供已經(jīng)被依法公開披露的數(shù)據(jù)。

  從立法原意看,之所以要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)向境外提供重要數(shù)據(jù)進(jìn)行安全評(píng)估,是為了防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn),維護(hù)國(guó)家安全,保障公共利益,因此《評(píng)估指南》排除了單純的數(shù)據(jù)中轉(zhuǎn)行為,而是強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者提供行為的主動(dòng)性。這也與《數(shù)據(jù)安全法》第十條的立法意相符合。

  二、數(shù)據(jù)出境自評(píng)估工作

  圖片圖源 《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》

 ?。?一 ) 什么時(shí)候需要進(jìn)行數(shù)據(jù)出境自評(píng)估

  根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》4.2.2 條,存在下列情況時(shí),需要進(jìn)行數(shù)據(jù)出境自評(píng)估:

  涉及數(shù)據(jù)出境的;

  關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者進(jìn)行數(shù)據(jù)出境之前的;

  已完成數(shù)據(jù)出境安全自評(píng)估的產(chǎn)品或業(yè)務(wù)所涉及的個(gè)人信息和重要數(shù)據(jù)出境,在目的、范圍、類型、數(shù)量等方面發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的;

  按照行業(yè)主管或者監(jiān)管部門要求啟動(dòng)的。

 ?。?二 ) 如何開展數(shù)據(jù)出境自評(píng)估工作

  1.成立安全自評(píng)估工作組,制定數(shù)據(jù)出境計(jì)劃

  開展數(shù)據(jù)出境自評(píng)估工作應(yīng)當(dāng)建立數(shù)據(jù)出境安全自評(píng)估工作組,工作組主要包含法務(wù)、政策、安全、技術(shù)、管理相關(guān)專業(yè)人員。數(shù)據(jù)出境安全自評(píng)估工作組應(yīng)負(fù)責(zé)審查業(yè)務(wù)部門提交的數(shù)據(jù)出境計(jì)劃,并定期對(duì)數(shù)據(jù)出境情況開展檢查、抽查。而有數(shù)據(jù)出境需求的業(yè)務(wù)部門應(yīng)制定數(shù)據(jù)出境計(jì)劃,該計(jì)劃是開展評(píng)估工作的重要依據(jù)。

  數(shù)據(jù)出境計(jì)劃的內(nèi)容包括但不限于:

  涉及個(gè)人信息情況,包括個(gè)人信息的類型、數(shù)量、范圍和敏感程度等;

  涉及重要數(shù)據(jù)情況,包括重要數(shù)據(jù)的類型、數(shù)量和范圍等;

  涉及的信息系統(tǒng)情況;

  數(shù)據(jù)發(fā)送方安全保護(hù)能力;

  數(shù)據(jù)接收方安全保護(hù)能力及其所在的國(guó)家或地區(qū)的基本情況。

  2.評(píng)估數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性

  數(shù)據(jù)出境安全自評(píng)估首先應(yīng)當(dāng)考慮本次數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性,如果數(shù)據(jù)出境活動(dòng)不具有合法性和正當(dāng)性,則禁止出境。在此基礎(chǔ)上再評(píng)估數(shù)據(jù)出境計(jì)劃是否風(fēng)險(xiǎn)可控,有效避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)。

  自評(píng)估但評(píng)估要點(diǎn)可以參考《評(píng)估指南》第5章,評(píng)估方法可以參考《評(píng)估指南》附錄 B。安全評(píng)估但結(jié)果為出境安全風(fēng)險(xiǎn)為極高或高的,則禁止出境。

  圖片根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》制作

  3.形成評(píng)估報(bào)告,進(jìn)行相應(yīng)調(diào)整

  數(shù)據(jù)出境安全自評(píng)估工作組在完成對(duì)數(shù)據(jù)出境計(jì)劃的評(píng)估后,應(yīng)形成安全自評(píng)估報(bào)告。安全自評(píng)估報(bào)告內(nèi)容應(yīng)包括但不限于:

  安全自評(píng)估對(duì)象基本情況;

  安全自評(píng)估組織實(shí)施情況;

  安全自評(píng)估結(jié)果;

  數(shù)據(jù)出境安全風(fēng)險(xiǎn)點(diǎn);

  檢查修正建議。

  安全自評(píng)估報(bào)告應(yīng)至少保存2年,并在如下情況下將安全自評(píng)估報(bào)告上報(bào)行業(yè)主管部門,行業(yè)主管部門不明確的,報(bào)國(guó)家網(wǎng)信部門。

  關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開展的安全自評(píng)估;

  一年內(nèi)出境的個(gè)人信息數(shù)量達(dá)到國(guó)家網(wǎng)信部門、行業(yè)主管部門上報(bào)要求的;

  包含核設(shè)施、生物化學(xué)、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù),大型工程活動(dòng)、海洋環(huán)境敏感地理信息數(shù)據(jù),以及其他重要數(shù)據(jù)的;

  涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的;

  其他可能影響國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的。

  如果安全自評(píng)估結(jié)果為禁止出境的,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采用相關(guān)措施降低數(shù)據(jù)出境安全風(fēng)險(xiǎn),并修正數(shù)據(jù)出境計(jì)劃,重新開展安全自評(píng)估。

  可用于降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)的措施包括但不限于:

  精簡(jiǎn)出境數(shù)據(jù)內(nèi)容;

  使用技術(shù)措施處理數(shù)據(jù)降低敏感程度;

  提升數(shù)據(jù)發(fā)送方安全保障能力;

  限定數(shù)據(jù)接收方的處理活動(dòng);

  更換數(shù)據(jù)保護(hù)水平更高的接收方;

  選擇政治法律環(huán)境保障能力較高地區(qū)的數(shù)據(jù)接收方等。

  在企業(yè)進(jìn)行相應(yīng)調(diào)整后,可重新對(duì)數(shù)據(jù)出境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。

  三、常見(jiàn)問(wèn)題回應(yīng)

 ?。?一 ) 跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器?

  《數(shù)據(jù)安全法》并未直接對(duì)數(shù)據(jù)本地化存儲(chǔ)進(jìn)行規(guī)制。對(duì)于此問(wèn)題可以參考此前已實(shí)施生效對(duì)《網(wǎng)絡(luò)安全法》第三十七條。

  《網(wǎng)絡(luò)安全法》第三十七條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。

  簡(jiǎn)言之,如果“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”直接在境外服務(wù)器上存儲(chǔ)境內(nèi)重要數(shù)據(jù),將違反本地化存儲(chǔ)的相關(guān)規(guī)定,導(dǎo)致企業(yè)和相關(guān)直接責(zé)任人員面臨被予以行政處罰的風(fēng)險(xiǎn)。

  《網(wǎng)絡(luò)安全法》僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”提出了數(shù)據(jù)本地化要求,但由于此前僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”進(jìn)行了行業(yè)和程度的界定,實(shí)踐中跨國(guó)企業(yè)的落實(shí)情況并不理想。而本次《數(shù)據(jù)安全法》擴(kuò)大了數(shù)據(jù)出境的被監(jiān)管主體——從“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”到“其他數(shù)據(jù)處理者”均被納入監(jiān)管范疇。同時(shí),結(jié)合近期監(jiān)管趨勢(shì)來(lái)看,監(jiān)管部門對(duì)于關(guān)涉國(guó)家安全的行業(yè)相繼出臺(tái)法規(guī)政策,如針對(duì)智能汽車領(lǐng)域的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見(jiàn)稿)》,首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍。

  可以見(jiàn)得,對(duì)于從事《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的跨國(guó)企業(yè),如果其在境內(nèi)收集、使用的數(shù)據(jù)有涉及國(guó)家安全的潛在可能,那么對(duì)于“跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器?”這個(gè)問(wèn)題的回答是,是的,為了應(yīng)對(duì)監(jiān)管趨勢(shì),設(shè)立用于數(shù)據(jù)存儲(chǔ)的服務(wù)器是有必要的。

 ?。?二 ) 境外遠(yuǎn)程訪問(wèn)是否屬于數(shù)據(jù)出境?

  上文已經(jīng)對(duì)“數(shù)據(jù)出境”內(nèi)涵進(jìn)行闡述,在此基礎(chǔ)上,我們可以討論“境外遠(yuǎn)程訪問(wèn)是否屬于數(shù)據(jù)出境”問(wèn)題。

  首先,如何理解“境外遠(yuǎn)程訪問(wèn)”,即“境外遠(yuǎn)程訪問(wèn)”一般包括那些情形。

  狹義層面的“遠(yuǎn)程訪問(wèn)”(remote access)一般是指遠(yuǎn)端用戶通過(guò)其他設(shè)備訪問(wèn)該計(jì)算機(jī)及其存儲(chǔ)資源的行為,比較常見(jiàn)的是通過(guò)在計(jì)算機(jī)上安裝遠(yuǎn)程訪問(wèn)軟件的方式來(lái)達(dá)到在遠(yuǎn)端操控計(jì)算機(jī)的目的。

  而法律所規(guī)制的“數(shù)據(jù)出境”行為要求網(wǎng)絡(luò)運(yùn)營(yíng)者的“提供”行為具有主動(dòng)性。筆者認(rèn)為主動(dòng)性在“遠(yuǎn)程訪問(wèn)”中體現(xiàn)為此訪問(wèn)行為是否受權(quán)限控制。如果境外主體獲得權(quán)限后訪問(wèn)境內(nèi)數(shù)據(jù)庫(kù),則該行為應(yīng)當(dāng)落入《評(píng)估指南》的規(guī)制范疇,屬于“數(shù)據(jù)出境”行為。

  如果網(wǎng)絡(luò)運(yùn)營(yíng)商在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)是因?yàn)楸粣阂夤粽吒`取數(shù)據(jù)從而導(dǎo)致重要數(shù)據(jù)被傳輸至境外的,不屬于數(shù)據(jù)出境行為。

  而從訪問(wèn)對(duì)象看,境外主體所訪問(wèn)的計(jì)算機(jī)或其資源不存在權(quán)限要求,即任何主體在任何時(shí)間地點(diǎn)均可對(duì)其進(jìn)行訪問(wèn),與排除“依法公開披露”立法意相同,也不屬于“數(shù)據(jù)出境”行為。

 ?。?三 ) 境外接收重要數(shù)據(jù)的母公司是否也存在合規(guī)要求?

  ——是的

  在跨國(guó)企業(yè)的業(yè)務(wù)中,收集、傳輸數(shù)據(jù)的主體多為跨國(guó)公司的境內(nèi)公司(外商投資企業(yè)),其承擔(dān)了主要的合規(guī)義務(wù),而境外母公司作為接受者也存在一定的監(jiān)管要求。網(wǎng)信辦在2019年發(fā)布的《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》對(duì)“個(gè)人信息接收者”規(guī)定了相應(yīng)的法律義務(wù),該辦法主要是針對(duì)個(gè)人信息出境,但由于其內(nèi)容具有一定實(shí)操性和規(guī)范性,因此我們建議在《數(shù)據(jù)安全法》配套法規(guī)尚未出臺(tái)前,有出境需求的跨國(guó)企業(yè)可以參照該辦法規(guī)定開展數(shù)據(jù)傳輸合規(guī)工作,力求盡可能規(guī)避監(jiān)管風(fēng)險(xiǎn)。

  該辦法第十三條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者(跨國(guó)公司的境內(nèi)公司)與個(gè)人信息接收者(境外母公司)應(yīng)當(dāng)簽訂合同或者其他有法律效力的文件,并對(duì)合同所應(yīng)當(dāng)約定的內(nèi)容進(jìn)行了規(guī)定。

  該辦法第十五條、第十六條明確規(guī)定接收者(境外母公司)所應(yīng)承擔(dān)的責(zé)任和義務(wù),包括:

  為個(gè)人信息主體提供訪問(wèn)其個(gè)人信息的途徑,個(gè)人信息主體要求更正或者刪除其個(gè)人信息時(shí),應(yīng)在合理的代價(jià)和時(shí)限內(nèi)予以響應(yīng)、更正或者刪除。

  按照合同約定的目的使用個(gè)人信息,個(gè)人信息的境外保存期限不得超出合同約定的時(shí)限。

  確認(rèn)簽署合同及履行合同義務(wù)不會(huì)違背接收者所在國(guó)家的法律要求,當(dāng)接收者所在國(guó)家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時(shí),應(yīng)當(dāng)及時(shí)通知網(wǎng)絡(luò)運(yùn)營(yíng)者,并通過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)者報(bào)告網(wǎng)絡(luò)運(yùn)營(yíng)者所在地省級(jí)網(wǎng)信部門。

  除非滿足一定條件,接收者不得將接收到的個(gè)人信息傳輸給第三方。

  對(duì)于“重要數(shù)據(jù)”而言,其對(duì)于“知情同意”的要求力度不如“個(gè)人信息”(個(gè)人信息自決權(quán)的體現(xiàn)),因此第一點(diǎn)對(duì)“重要數(shù)據(jù)”而言參照性較低。但第2、3、4點(diǎn)的制定邏輯均適用于“個(gè)人信息”和“重要數(shù)據(jù)”,跨國(guó)企業(yè)可以參照。

  總結(jié)

  此前,國(guó)家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》并向社會(huì)公開征集意見(jiàn)。該辦法對(duì)赴國(guó)外上市公司作了特殊規(guī)定,要求掌握超過(guò) 100 萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查,且在申報(bào)材料中應(yīng)提供擬提交的 IPO 材料。且在審查關(guān)注的國(guó)家安全風(fēng)險(xiǎn)方面,針對(duì)赴國(guó)外上市行為提出了新的規(guī)制措施??梢砸?jiàn)得,在未來(lái)一段期限內(nèi),關(guān)涉國(guó)家安全對(duì)數(shù)據(jù)跨境流通將面對(duì)更進(jìn)一步對(duì)監(jiān)管要求。尤其是日常業(yè)務(wù)涉及高頻數(shù)據(jù)跨境流動(dòng)對(duì)跨國(guó)企業(yè),對(duì)此問(wèn)題應(yīng)當(dāng)有所應(yīng)對(duì)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。